İSMAİL ÇELİK İNŞAAT SANAYİ VE TİCARET LİMİTED ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİNE VE KORUNMASINA İLİŞKİN GENEL POLİTAKA

 

1.    GİRİŞ

İsmail Çelik İnşaat San.ve Ticaret Ltd.Şti. (“İsmail Çelik İnşaat”); İsmail Çelik İnşaat hissedarları, müdürler kurulu üyeleri, personeli, İsmail Çelik İnşaat’ın taşeron firmalarının personeli, birlikte iş yaptığı firmaların temsilcileri ve İsmail Çelik İnşaat ziyaretçileri gibi herhangi bir gerçek kişiye ait olan ve İsmail Çelik İnşaat tarafından işlenen kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuata uygun olarak işlenmesini ve kişisel verisi işlenen kişilerin (“İlgili Kişi”) yasal haklarını etkin şekilde kullanmasını sağlamaya önem vermektedir.

    İsmail Çelik İnşaat, faaliyetleri sırasında ve faaliyetleri gereği edindiği tüm kişisel verilerin işlenmesine; elde edilmesine, kaydedilmesine, depolanmasına, muhafaza edilmesine, değiştirilmesine, yeniden düzenlenmesine, açıklanmasına, aktarılmasına, devralınmasına, elde edilebilir hâle getirilmesine, sınıflandırılmasına ya da kullanılmasının engellenmesine ilişkin tüm işlemlerini İsmail Çelik İnşaat-Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Genel Politika (“Politika”) uyarınca gerçekleştirmektedir. İsmail Çelik İnşaat faaliyetlerinin devamlılığı için gereken ölçüyle sınırlı olmak kaydıyla kişisel veri işlemekte; bu verilerin işlenme sebepleri-amaçları, kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarını belirleyen KVK Kanununun 5. ve 6. maddelerinde belirlenen sınırları aşmamaktadır.


2.    İSMAİL ÇELİK İNŞAAT’IN KİŞİSEL VERİ İŞLENMESİ-KORUNMASI İÇİN UYGULADIĞI PROSEDÜR

 

2.1.  Genel Politika

İsmail Çelik İnşaat, kişisel verilerin işlenmesi-korunması konusunda izlediği genel politika uyarınca;

- İlgili Kişilerden sadece gerekli olan bilgileri, KVK Mevzuatına uygun olarak kanuni bir yükümlülük, işleme şartı ve/veya belirli bir amaç doğrultusunda talep etmekte,

- Kişisel verisini elde ettiği İlgili Kişileri, hangi verilerinin hangi amaçla talep edildiği, bu verilerin hangi şekilde, hangi amaçlarla ve ne zamana kadar saklanıp kaydedileceği, bu verilerin hangi amaçlarla, kimlere aktarılabileceği ve İlgili Kişinin hakları konusunda aydınlatmaktadır.

- Bir kişisel verinin işlenmesi için açık rıza alınması gereken durumlarda, İlgili Kişinin açık rızasını talep etmekte, rıza verilmesini hiçbir şekilde bir işlemin gerçekleşmesi/hizmetin sunulması için ön koşul haline getirerek zorunlu hale getirmemektedir.

- Elde ettiği tüm kişisel verileri, KVK Mevzuatına uygun olarak işlemekte ve korumakta; bu verilerin gizliliği için Kişisel Verilerin Korunması Kurumu tarafından belirlenen idari ve teknik tedbirleri almaktadır.

- İşlemekte olduğu kişisel verilere ilişkin olarak başta kendi çalışanlarını bilinçlendirmekte; çalışanlarının kişisel verilere erişim yetkilerini görevlerinin gerektirdiği ölçüyle sınırlamakta ve iş sözleşmelerine kişisel verilerin korunması ile ilgili taahhütler eklemektedir. Bunun yanı sıra, veri aktardığı üçüncü kişi ve kurumlar ile de aktarılan kişisel verilerin işlenme şeklinin ve gizliliğinin güvence altına alınması için sözleşme imzalamaktadır. - Elde ettiği kişisel verileri sadece kanunda belirlenen süreler boyunca veya bu verilerin herhangi bir yolla saklanılmasının/kaydedilmesinin gerektiği süre boyunca tutmakta; kullanımına gerek kalmayan tüm kişisel verileri KVK Mevzuatına uygun olarak silmekte, yok etmekte veya anonim hale getirmektedir. İsmail Çelik İnşaat, bu süreci yönetebilmek adına kontrol ve imha süreçleri belirlemiş, Kişisel Veri Saklama ve İmha Politikası oluşturmuştur.

- İlgili kişilerin işlenmekte olan kişisel verilerine ilişkin olarak kanunen sahip oldukları haklarını kullanabilmeleri için de gerekli prosedürü belirlemiştir.

2.2.   Temel Prensipler

İsmail Çelik İnşaat, işlemekte olduğu tüm kişisel verilerin;

a. Hukuka ve dürüstlük kurallarına uygun olması,

b. Doğru ve gerektiğinde güncel olması,

c. Belirli, açık ve meşru amaçlar için işlenmesi,

d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,

e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,

Konularına hassasiyetle yaklaşmakta ve bu prensiplere uygun olarak kişisel veri işlenmesi için gerekli idari ve teknik tedbirleri almaktadır.

2.3.  Kişisel Verilerin Korunması Amacıyla Alınan Tedbirler

 

2.3.1.     İdari Tedbirler

 

Mevcut Risk ve Tehditlerin Belirlenmesi

İsmail Çelik İnşaat tarafından, kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde İlgili Kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınarak gerekli olmayan hiçbir bilginin alınmaması konusunda özen gösterilmekte, özel nitelikli kişisel verilerin işlenmesi için gerekmesi durumunda İlgili Kişilerden açık rıza alınmakta, gizli belgeler sadece yetkili kişilerin ulaşabileceği ortamlarda saklanmakta ve kişisel veriler işlenme amaçları ortadan kalktıktan sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

2.3.1.1.         Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

İsmail Çelik İnşaat tarafından, çalışanları, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında bilgilendirilmiş, çalışanlarda farkındalık yaratılmış, güvenlik riskleri belirlenerek gerekli önlemler alınmış, çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarını belirlenmiş, çalışanlarla kişisel verilerin gizliliğine ilişkin sözleşme imzalanmış, iş sözleşmelerine ve işçi yönetmeliğine gerekli maddeler eklenmiş ve çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci belirlenmiştir.

2.3.1.2.         Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

İsmail Çelik İnşaat tarafından, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğu tespit edilmiş ve bu veriler ile bir envanter oluşturulmuş, mevcut güvenlik önlemleri incelenerek yasal yükümlülüklere uyum sağlanmış, politika ve prosedürler hazırlanmış, sorunlu alanlar belirlenerek gerekli tedbirler alınmış, düzenli olarak yapılacak kontrol periyodları belirlenmiş ve belgelenerek kontrollere başlanmış, kontrollerde geliştirilmesi gereken hususların belirlenmesi ve gerekli güncellemelerin yapılması yönünde karar alınmış, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği belirlenmiştir.

2.3.1.3.         Kişisel Verilerin Mümkün Olduğunca Azaltılması

İsmail Çelik İnşaat tarafından, kişisel veriler, doğru güncel olarak işlenmekte, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte, yapılan periyodik kontrollerde işlenmekte olan kişisel verilere hala ihtiyaç olup olmadığı değerlendirilmekte, ihtiyaç duyulmayan kişisel veriler, kişisel veri saklama ve imha politikası uyarınca silinmekte, yok edilmekte veya anonim hale getirilmekte, yetkisiz erişimin önüne geçilebilmesi için sıklıkla erişim gerektirmeyen ve arşiv amaçlı tutulan kişisel veriler, daha güvenli ortamlarda muhafaza edilmektedir.

2.3.1.4.         Veri İşleyenler ile İlişkilerin Yönetimi

İsmail Çelik İnşaat tarafından, dışarıdan hizmet alınması sebebiyle veri aktarılan kişi/kurumların, bu kişisel verileri işlerken en az kendileri tarafından sağlanan güvenlik seviyesini sağlandıklarından emin olmak adına, veri işleyenlerle kişisel veri aktarımı sözleşmeleri imzalanmakta; söz konusu sözleşme aracılığıyla, veri işleyenin sadece İsmail Çelik İnşaat’ın talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmesi, kişisel veri saklama ve imha politikasına uyması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olması, söz konusu sözleşmede herhangi bir veri ihlali olması durumunda veri işleyenin bu durumu derhal İsmail Çelik İnşaat’a bildirmekle yükümlü olması teminat altına alınmaktadır.

2.3.2.     Teknik Tedbirler

 

2.3.2.1.         Siber Güvenliğin Sağlanması

İsmail Çelik İnşaat tarafından güvenlik duvarı, ağ geçidi yama yönetimi ve yazılım güncellemeleri kullanılmakta, sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığı düzenli olarak kontrol edilmekte, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmakta, yönetici hesabı ve admin yetkisi sadece ihtiyaç olan durumlarda kullanım için açılmakta, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişimin sağlanmakta, İsmail Çelik İnşaat‘la ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesap silinmekte ya da girişler kapatılmakta, anti virüs, antispam gibi ürünler kullanılmakta ve güncellenmekte, farklı internet sitelerinden kişisel veri temin edilirken, bağlantılar güvenli yollarla gerçekleştirilmektedir. Bunlara ek olarak, İsmail Çelik İnşaat tarafından, güçlü ve kolay tahmin edilemeyecek şifre ve parolalar oluşturulmuş, şifre girişi deneme sayısı sınırlandırılmıştır. Kişisel veri içeren sistemlere erişim sınırlandırılmış, çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış, kullanılmayan yazılım ve servisler cihazlardan kaldırılmış, erişim yetki ve kontrol matrisi ve ayrı bir erişim politika ve prosedürü oluşturulmuştur.

Kişisel veri güvenliğinin takibi, İsmail Çelik İnşaat tarafından güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçları düzenli olarak kontrol edilmekte, bu sistemlerden gelen uyarılar üzerine harekete geçilmekte, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testleri yapılmakta, ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılmakta, bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

2.3.2.2.         Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

İsmail Çelik İnşaat tarafından İsmail Çelik İnşaat’a ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için önlem alınmakta, elektronik posta ya da posta ile aktarılan kişisel veriler tedbir alınarak gönderilmekte, kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar ek güvenlik önlemlerinin olduğu başka bir odaya alınarak kullanılmadığı zaman kilit altında tutulmakta, ortama giriş çıkış kayıtları tutulmakta, söz konusu evraklara yetkisiz erişimin önlenmekte, kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve şifreleme yöntemleri kullanılmakta; bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği bir ortamda saklanmakta ve yetkisiz erişimin önlenmekte, tam disk şifrelemesiyle dosyalar şifrelenmekte, uluslararası kabul gören şifreleme programları kullanılmaktadır.

Bunlara ek olarak, İsmail Çelik İnşaat tarafından, çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması sırasında güvenlik ihlali olmaması için güvenlik tedbirleri alınmıştır, elektronik ortamda tutulan kişisel veriler için ağ bileşenleri arasındaki erişimi sınırlandırılmıştır ve bileşenler ayrılmıştır.

2.3.2.3.         Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

İsmail Çelik İnşaat tarafından, uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmakta, arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamı sökülerek saklanmakta veya sadece arızalı parçalar gönderilmekte, bakım ve onarım gibi amaçlarla dışarıdan personel geldiği zaman kişisel veriler kopyalanarak kurum dışına çıkarılmasını engellemek için gerekli önlemler alınmaktadır. Bunlara ek olarak, İsmail Çelik İnşaat tarafından sisteme doğru girilmiş bilginin bozulup bozulmadığını kontrol etmek amacıyla uygulamalara kontrol mekanizmaları yerleştirilmiştir.

2.3.2.4.         Kişisel Verilerin Yedeklenmesi

Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmekte, veri seti yedekleri ağ dışında tutulmakta ve tüm yedeklerin fiziksel güvenliği sağlanmaktadır. Bunlara ek olarak, İsmail Çelik İnşaat tarafından kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejileri geliştirilmiştir.

2.4.  İlgili Kişilerin Başvuru Hakkı

İsmail Çelik İnşaat, aydınlatma yükümlülüğü kapsamında kişisel verisini işlediği İlgili Kişileri KVK Kanunun 11.maddesi kapsamında sahip olduğu haklarla ilgili olarak bilgilendirmektedir. İlgili kişiler her zaman İsmail Çelik İnşaat’a başvurarak:

ü Kişisel verilerinin işlenip işlenmediğini öğrenme,

ü Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

ü Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ü  Yurt içinde ve yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

ü Kişisel verilerinin eksik veya yanlış işlenmiş olması durumunda bunların düzeltilmesini isteme,

ü Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmış olması şartıyla, kişisel verilerinin silinmesini, yok edilmesini veya anonim hâle getirilmesini isteme,

ü Eksik veya yanlış işlenmiş olması sebebiyle kişisel verisinin düzeltilmesi işleminin; işlenmesini gerektiren sebeplerin ortadan kalkmış olması sebebiyle, kişisel verisinin silinmesi, yok edilmesi veya anonim hâle getirilmesi durumlarında bu işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

ü Kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhlerine bir sonucun ortaya çıkmasına itiraz etme,

ü Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde, zararın giderilmesini talep etme haklarına sahiptir. Bu yöndeki taleplerini içeren dilekçelerini, Mebusevleri Mahallesi Şerefli Sokak No:13 Tandoğan - Çankaya/ANKARA adresinde bulunan veri sorumlusu İsmail Çelik İnşaat’a kimlik ibraz ederek şahsen başvuru yoluyla veya aynı adrese noter aracılığıyla göndermek suretiyle iletme hakkına sahiptir. Bu talepler, niteliğine göre en kısa sürede ve her halükarda en geç 30 (otuz) gün içinde ücretsiz olarak veya Kişisel Verilerin Korunması Kurulu tarafından ücrete ilişkin yayınlanacak tarifedeki koşulların oluşması durumunda tarifedeki ücret mukabili sonuçlandırılacaktır. İsmail Çelik İnşaat gerektiğinde başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep etme hakkını saklı tutmaktadır. İsmail Çelik İnşaat talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını İlgili Kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde, İsmail Çelik İnşaat tarafından gereği yerine getirilir. Başvurunun İsmail Çelik İnşaat’ın hatasından kaynaklanması hâlinde varsa alınan ücret ilgiliye iade edilir.